Tijdens de Virus Bulletin conferentie in Seattle hebben onderzoekers een systeem voorgesteld dat in staat is om kwaadaardige domeinen te voorspellen en te blokkeren voordat ze door malware en cybercriminelen worden gebruikt. Op dit moment komen de meeste moderne reputatiesystemen die domeinen monitoren pas in actie als er verdacht gedrag is waargenomen.

Om dit soort systemen te omzeilen worden domeinen tegenwoordig nog maar voor korte tijd door cybercriminelen gebruikt. Dit maakt het lastig voor de reputatiesystemen om de domeinen als verdacht te bestempelen en als ze al worden gedetecteerd, hebben ze hun doel al gediend. Daarnaast zijn de kosten voor het registreren van domeinnamen ook zeer laag.

Voorspelling

Om dit probleem op te lossen stelden onderzoekers van Palo Alto Networks een systeem voor dat domeinnamen voorspelt die het meest waarschijnlijk voor kwaadaardige doeleinden zullen worden gebruikt. Deze voorspelde kwaadaardige domeinnamen kunnen vervolgens proactief worden geblokkeerd. Om deze aanpak mogelijk te maken kijken de onderzoekers naar de levenscyclus van een domein en de connecties en patronen die deze kwaadaardige domeinen vertonen.

Zo ontdekten de onderzoekers dat voordat een kwaadaardig domein wordt gebruikt, aanvallers meerdere acties moeten uitvoeren om het domein te activeren. Deze acties laten sporen achter die via openbare bronnen zijn te achterhalen. Door deze sporen te identificeren die met de voorbereiding of het eerste gebruik van kwaadaardige domeinen samenhangen, is het mogelijk om in een vroeg stadium te waarschuwen.

"Onze evaluatie is gebaseerd op een grote en diverse verzameling van datasets, en de resultaten suggereren dat deze methoden kwaadaardige domeinen kunnen voorspellen en gebruikt zouden kunnen worden om aanvallen effectief via proactieve maatregelen te voorkomen", aldus de onderzoekers.